Sistem Manajemen Keamanan Informasi ISO 27001:2013 atau disingkat ISO 27001 / 27K memang diutamakan pada perusahaan yang menggunakan IT sebagai back bone atau core process di organisasinya.
Pada dasarnya saya tidak mempunyai dasar pengetahuan tentang keamanan informasi. Paling juga cuma tau hal – hal yang umum seperti bikin web site atau trouble shooting pc/laptop. Ndilalah ternyata ketemu konsultan yang khusus 27001 dan meminta bantuan untuk melakukan integrasi 27001 dan 9001 karena request dari klien. Dari sinilah pembelajaran terhadap ISO 27001:2013 dimulai.
Untuk berbagi hasil pembelajaran dan
pengalaman saat membantu perusahaan mendapatkan sertifikat ISO
27001:2013 Sistem Manajemen Keamanan Informasi maka diputuskan (meski
bukan ahli tapi berniat berbagi) menceritakan lika liku dalam menerapkan
ISO 27001:2013 : Sistem Manajemen Keamanan Informasi. btw Kementrian komunikasi dan informasi menyebut dengan istilah Sistem Manajemen Pengamanan Informasi
Seperti biasa pada awalnya saya akan memperkenalkan persyaratannya sebagai dasar bagi kita nantinya dalam mengulas ISO 27001:2013 : Sistem Manajemen Keamanan Informasi. Berikut isi dari persyaratannya
1.Lingkup
2.Acuan Normatif
3.Istilah dan definisi
4.Konteks Organisasi
4.1 Memahami Organisasi dan Konteks
4.2 Memahami Kebutuhan dan harapan dari pihak yang berkepentingan
4.3 Menentukan lingkup SMKI
4.4 Sistem Manajemen Keamanan Informasi
5.Kepemimpinan
5.1 Kepemimpinan dan Komitmen
5.2 Kebijakan
5.3 Peran, tanggung jawab dan wewenang
6.Perencanaan
6.1 Tindakan untuk menangani risiko dan peluang
6.1.1 Umum
6.1.2 Penilaian risiko keamanan informasi
6.1.3 Penanganan risiko Keamanan Informasi
6.2 Sasaran Keamanan Informasi
7.Dukungan
7.1 Sumber Daya
7.2 Kompetensi
7.3 Kepedulian
7.4 Komunikasi
7.5 Informasi Terdokumentasi
7.5.1 Umum
7.5.2 Membuat dan memperbarui
7.5.3 Pengendalian Informasi Terdokumentasi
8.Operasi
8.1 Perencanaan dan Pengendalian Operasional
8.2 Penilaian risiko keamanan informasi
8.3 Penanganan risiko keamanan informasi
9.Evaluasi Kinerja
9.1 Pemantauan, Pengukuran analisis dan evaluasi
9.2 Audit Internal
9.3 Tinjauan Manajemen
10.Perbaikan
10.1 Ketidaksesuaian dan tindakan korektif
10.2 Perbaikan berkelanjutan
Dikit yah?? iya terkesan sedikit karena terdapat persyaratan tambahan yang dikenal sebagai Annex A (lampiran A) yang menjadikan ISO 27001:2013 : Sistem Manajemen Keamanan Informasi saya anggap adalah variasi persyaratan sedikit tapi lebih spesific karena teknik keamanan informasi yang disebutkan dalam persyaratan 6.1.3 Penanganan risiko Keamanan Informasi ISO 27001 akan menggali bagaimana keamanan informasi itu harusnya dilakukan
jadi kita akan bahas soal annex A ini pada tulisan berikutnya yahh…. biar terkesan blog ini banyak postingan hihihihi
baca juga : Persyaratan Tambahan ISO 27001:2013
baca juga : Persyaratan Tambahan ISO 27001:2013
pada dasarnya struktur standar ISO 27001:2013 adalah struktur HLS, dan mungkin ini adalah standar pertama yang menggunakan struktur HLS yang kemudian digunakan pada standar ISO 9001:2015 dan standar - standar perubahan berikutnya. Dengan demikian bagi anda yang terbiasa dengan standar ISO yang baru maka struktur ini sangat familiar dan sangat mudah dipahami.
Klausul 4, klausul 5, klausul 7, klausul 9 dan klasul 10 secara umum akan sama dengan standar lain. Yang sangat berbeda dari standar ISO 27001:2013 ini adalah klausul 6 pada pengelolaan risiko dan klausul 8 pada pengelolaan operasional (berbasis risiko).
Nanti kita satu - satu akan kupas pembahasannya pada setiap klausul untuk memastikan anda mengerti bagaimana cara mengimplementasikan persyaratan pada organisasi anda.
hehehe gw baik kan kasih tahu secara gratis? :p
wrote by zulkhaidarsyah with spirit 4 share
Semua Ilmu adalah Milik ALLAH semata.. kekurangan ilmu adalah semata2 karena keterbatasan kemampuan kami
Semua Ilmu adalah Milik ALLAH semata.. kekurangan ilmu adalah semata2 karena keterbatasan kemampuan kami
0 comments